Oracle'i ettevõte oma toodete plaanitud värskenduste väljaandmine (Critical Patch Update), mille eesmärk on kõrvaldada kriitilised probleemid ja haavatavused. Jaanuari värskenduses on kokku .
Küsimustes kõrvaldatud . Kõiki turvaauke saab ilma autentimiseta eemalt ära kasutada. Kõrgeim raskusaste on 8.3, mis on määratud raamatukogude probleemidele (CVE-2020-2803, CVE-2020-2805). Kahe haavatavuse (libxslt ja JSSE) raskusastmed on 8.1 ja 7.5.
Lisaks Java SE probleemidele on turvaauke avalikustatud ka teistes Oracle'i toodetes, sealhulgas:
- MySQL serveris ja
2 haavatavust MySQL kliendi (C API) rakendamisel. Kõrgeim raskusaste 9.8 on määratud haavatavusele CVE-2019-5482, mis kuvatakse cURL-i toega kompileerimisel. Väljalasetes parandatud probleemid . - , millest 7 probleemil on kriitiline ohutase (CVSS suurem kui 8). See hõlmab ka võistlustel demonstreeritud rünnakutes kasutatud haavatavuste parandamist ja külalissüsteemi poolel toimuvate manipulatsioonide kaudu pääseda juurde hostsüsteemile ja käivitada hüperviisori õigustega koodi. Haavatavused parandatakse värskendustes .
- Solarises. Maksimaalne ohutase 8.8 – lokaalselt juhitav Common Desktop Environment, võimaldades privilegeerimata kasutajal käivitada koodi juurõigustega. Probleemid on parandatud ka SMB-protokolli rakendavas kerneli moodulis, Whodos ja käsus svcbundle SMF. Probleemid parandati eilses värskenduses .
Allikas: opennet.ru